0976.389.199
ISO / IEC 27034-5: 2017 - Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 5: Giao thức và bảo mật ứng dụng kiểm soát cấu trúc dữ liệu

ISO / IEC 27034-5: 2017 - Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 5: Giao thức và bảo mật ứng dụng kiểm soát cấu trúc dữ liệu

ISO / IEC 27034-5 phác thảo và giải thích tập hợp tối thiểu các thuộc tính thiết yếu của ASC và nêu chi tiết các hoạt động và vai trò của Mô hình tham chiếu vòng đời bảo mật ứng dụng (ASLCRM).

Tiêu chuẩn ISO / IEC 27034-5: 2017

Giới thiệu

Tổng quan

Ngày càng có nhiều nhu cầu đối với các tổ chức tập trung vào việc bảo vệ thông tin của họ ở cấp độ ứng dụng. Cách tiếp cận có hệ thống nhằm tăng mức độ bảo mật của ứng dụng cung cấp cho tổ chức bằng chứng rằng thông tin đang được sử dụng hoặc lưu trữ bởi các ứng dụng của tổ chức đang được bảo vệ đầy đủ.

ISO / IEC 27034 (tất cả các phần) cung cấp các khái niệm, nguyên tắc, khuôn khổ, thành phần và quy trình để hỗ trợ các tổ chức tích hợp bảo mật một cách liền mạch trong suốt vòng đời của các ứng dụng của họ.

Kiểm soát Bảo mật Ứng dụng (ASC) là một trong những thành phần chính của tài liệu này.

Để tạo điều kiện thuận lợi cho việc triển khai khuôn khổ bảo mật ứng dụng ISO / IEC 27034 (tất cả các phần) và giao tiếp và trao đổi các ASC, một tập hợp tối thiểu các thuộc tính thiết yếu cần được lập thành văn bản và giải thích để hiện thực hóa các ASC và một số thành phần khác của khuôn khổ.

Tài liệu này giải thích tập hợp tối thiểu các thuộc tính thiết yếu của ASC và chi tiết thêm về Mô hình tham chiếu vòng đời bảo mật ứng dụng (ASLCRM).

Mục đích

Mục đích của tài liệu này là tài liệu hóa và giải thích các yêu cầu về cấu trúc dữ liệu và thông tin thiết yếu đối với ASC. Những ưu điểm của một tập hợp các thuộc tính thông tin thiết yếu và cấu trúc dữ liệu của ASC được chuẩn hóa bao gồm:

a) việc tạo, giao tiếp, bảo vệ và xác minh ASC đã chuẩn hóa tuân thủ các yêu cầu của tài liệu này; và
b) giảm thiểu chi phí bảo mật trong các dự án ứng dụng bằng cách tạo điều kiện sử dụng lại các biện pháp kiểm soát đã được phê duyệt và mua lại các ASC từ các nguồn khác nhau. ”

Ngoài ra, tài liệu này xác định và chi tiết các quy trình, hoạt động và vai trò liên quan đến Mô hình Tham chiếu Vòng đời Bảo mật Ứng dụng.

Đối tượng được nhắm mục tiêu

Tổng quan

Những khán giả sau đây sẽ tìm thấy các giá trị và lợi ích khi thực hiện các vai trò tổ chức được chỉ định của họ:

a) các nhà quản lý
b) Ủy ban ONF
c) các chuyên gia lĩnh vực
d) nhà cung cấp
e) những người mua lại

Người quản lý

Các nhà quản lý nên đọc tài liệu này vì họ có trách nhiệm:

a) đảm bảo các ASC có thể sử dụng lại trong tổ chức
b) đảm bảo các ASC có sẵn, được truyền đạt và sử dụng trong các dự án ứng dụng với các công cụ và thủ tục phù hợp trong toàn bộ tổ chức.

Ủy ban Khung Chuẩn mực Tổ chức (ONF)

Ủy ban ONF chịu trách nhiệm quản lý việc thực hiện và duy trì các thành phần và quy trình liên quan đến ứng dụng-bảo mật trong Khung quy chuẩn của Tổ chức. Ủy ban ONF:

a) triển khai Thư viện ASC
b) phê duyệt các ASC giúp giảm thiểu một cách chính xác các rủi ro bảo mật ứng dụng
c) quản lý chi phí thực hiện và duy trì các ASC

Chuyên gia tên miền

Các chuyên gia miền đóng góp kiến ​​thức trong việc cung cấp, vận hành hoặc kiểm tra ứng dụng, những người:

a) tham gia vào quá trình phát triển, xác nhận và xác minh ASC,
b) tham gia vào việc thực hiện và duy trì ASC, bằng cách đề xuất các chiến lược, thành phần và quy trình thực hiện để điều chỉnh ASC cho phù hợp với bối cảnh của tổ chức, và
c) xác nhận rằng các ASC có thể sử dụng được và hữu ích trong các dự án ứng dụng.

Công cụ bảo mật và nhà cung cấp ASC

Các nhà cung cấp đóng góp vào việc phát triển, duy trì và phân phối các công cụ và / hoặc ASC. Họ

a) tạo, xác thực, thực thi tính toàn vẹn (thông qua một phương pháp được công nhận, chẳng hạn như ký tên), phân phối và áp dụng ASC, và
b) phù hợp với một giao thức trao đổi chung và được tiêu chuẩn hóa (cấu trúc và định dạng) cho các ASC.

Công cụ bảo mật và công cụ thu thập ASC

Mua lại là các cá nhân hoặc tổ chức muốn mua ASC. Họ

a) tích hợp các ASC vào tổ chức của họ và đảm bảo khả năng tương tác của bất kỳ ASC nội bộ và bên thứ ba nào,
b) điều chỉnh ASC và thực thi tính toàn vẹn của chúng, và
c) đảm bảo rằng các hoạt động và nhiệm vụ của các ASC thu được có thể được ánh xạ tới vòng đời ứng dụng của tổ chức.

1 Phạm vi

Tài liệu này phác thảo và giải thích tập hợp tối thiểu các thuộc tính thiết yếu của ASC và nêu chi tiết các hoạt động và vai trò của Mô hình tham chiếu vòng đời bảo mật ứng dụng (ASLCRM).

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được viện dẫn (bao gồm mọi sửa đổi) sẽ được áp dụng.

  • ISO / IEC 27034-1 , Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 1: Tổng quan và khái niệm

Xem Preview Tiêu chuẩn ISO / IEC 27034-5: 2017

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.

Bài viết liên quan